QR 코드를 스캔하여 다운로드하세요.
첫 페이지
속보
Token Unlock
프로젝트 랭킹
주제
전문 칼럼
ETF
지식 저장소
일정표
활동
도구 탐색기

BitsLab 중대한 보안 연구 성과 발표: 2024 신흥 공용 블록체인 보안 전경 통찰

산업 속보
2025-01-17 19:44:34
수집
풍부한 사례 복습과 공격 방어 실습을 통해 체계적인 안전 대응 사고를 정리하다.

이 보고서는 Move, TON, 비트코인 확장 및 Cosmos 애플리케이션 체인이라는 4가지 주요 방향에 초점을 맞추고, 기술 혁신, 보안 도전, 역사적 보안 사건의 3가지 방향에서 상세히 해석하여 투자자, 개발자, 화이트 해커에게 경험과 사고 방향을 제공합니다. 본 보고서의 일부 참고 자료는 RootData(https://www.rootdata.com)에서 가져왔습니다.

Move 생태계 (Aptos, Sui 등)

보고서는 Move 언어가 자원 관리, 모듈화 설계, 내장 보안 메커니즘에서 스마트 계약 프로그래밍을 어떻게 혁신하는지 소개하고, Aptos와 Sui 각각의 혁신점과 보안 아키텍처를 깊이 분석합니다.

Move 언어는 원래 Facebook(현재 Meta)이 Diem(리브라) 프로젝트를 위해 개발하였으며, 전통적인 스마트 계약 언어의 성능과 보안 병목 현상을 해결하기 위해 설계되었습니다. Move의 설계는 자원의 명확성과 안전성을 강조하여 블록체인에서의 모든 상태 변화의 제어 가능성을 보장합니다. 이 혁신적인 프로그래밍 언어는 다음과 같은 두드러진 장점을 가지고 있습니다:

자원 관리 모델: Move는 자산을 자원으로 간주하여 복제하거나 파괴할 수 없도록 합니다. 이러한 독특한 자원 관리 모델은 스마트 계약에서 흔히 발생하는 이중 지불 또는 자산의 우발적 파괴 문제를 피합니다.

모듈화 설계: Move는 스마트 계약을 모듈화된 방식으로 구축할 수 있게 하여 코드 재사용성을 높이고 개발 복잡성을 줄입니다.

높은 보안성: Move는 언어 수준에서 많은 보안 검사 메커니즘을 내장하여 재진입 공격(reentrancy attacks)과 같은 일반적인 보안 취약점을 방지합니다.

또한, 보고서는 2023년부터 2024년 말까지 Move 가상 머신과 Aptos 네트워크에서 발생한 전형적인 보안 사건을 회고하여 커뮤니티에 네트워크 내 잠재적인 무한 재귀 DoS 취약점, 메모리 풀 추방 메커니즘 결함 등의 문제에 경각심을 일깨웁니다.

자세한 Move 생태계 보안 사건 회고는 보고서를 다운로드하여 확인하세요

TON 생태계

TON(The Open Network)은 Telegram이 만든 블록체인 및 디지털 통신 프로토콜로, 빠르고 안전하며 확장 가능한 블록체인 플랫폼을 구축하여 사용자에게 탈중앙화된 애플리케이션과 서비스를 제공합니다. 블록체인 기술과 Telegram의 통신 기능을 결합하여 TON은 높은 성능, 높은 보안성 및 높은 확장성을 실현합니다. 개발자는 다양한 탈중앙화 애플리케이션을 구축할 수 있으며 분산 저장 솔루션을 제공합니다. 전통적인 블록체인 플랫폼에 비해 TON은 더 빠른 처리 속도와 처리량을 가지고 있으며, 지분 증명(Proof-of-Stake) 합의 메커니즘을 채택하고 있습니다.

TON은 지분 증명 합의 메커니즘을 채택하고 있으며, 튜링 완전한 스마트 계약과 비동기 블록체인을 통해 높은 성능과 다기능성을 실현합니다. TON의 번개처럼 빠르고 저렴한 거래는 체인의 유연하고 분할 가능한 아키텍처에 의해 지원됩니다. 이러한 아키텍처는 성능 손실 없이 쉽게 확장할 수 있도록 합니다. 동적 분할은 각기 다른 목적을 가진 개별 분할을 포함하며, 이 분할들은 동시에 실행되어 대규모 적체를 방지합니다. TON의 블록 시간은 5초이며, 최종 확정 시간은 6초 미만입니다.

기존 인프라는 두 가지 주요 부분으로 나뉩니다:

  • 마스터 체인(Masterchain): 프로토콜의 모든 중요하고 핵심 데이터를 처리하며, 검증자의 주소 및 검증된 코인의 양을 포함합니다.
  • 워크 체인(Workchain): 마스터 체인에 연결된 하위 체인으로, 모든 거래 정보 및 다양한 스마트 계약을 포함하며, 각 워크 체인은 서로 다른 규칙을 가질 수 있습니다.

TON 재단은 TON 핵심 커뮤니티에 의해 운영되는 DAO로, TON 생태계 내 프로젝트에 다양한 지원을 제공합니다. 2024년 TON 커뮤니티가 여러 측면에서 눈에 띄는 진전을 이루었다는 보고서를 자세히 정리하였으며, 최근 악의적인 계약이 중첩 구조를 통해 가상 머신 자원을 소진시킬 수 있는 취약점을 드러내어 각 당사자에게 계약 보안 감사 강화를 지속적으로 경고합니다.

더 많은 TON 생태계 상세 내용은 보고서를 다운로드하여 확인하세요

비트코인 확장 생태계

라이트닝 네트워크(Lightning Network), 리퀴드 네트워크(Liquid Network), 루트스톡(Rootstock, RSK), B² 네트워크, 스택스(Stacks) 등 Layer 2 및 사이드 체인 솔루션이 비트코인의 거래 확장성과 프로그래밍 가능성에 대한 돌파구를 추진하고 있습니다. 라이트닝 네트워크는 거래 효율성을 높이고, 리퀴드 네트워크는 기관 간 거래를 가속화하며, 루트스톡은 보안성과 스마트 계약을 결합하여 dApp 생태계를 확장합니다. 또한, B² 네트워크와 스택스는 비트코인의 기능과 응용 시나리오를 더욱 심화시킵니다.

라이트닝 네트워크는 비트코인 Layer 2에서 가장 성숙하고 널리 사용되는 솔루션 중 하나입니다. 이는 지불 채널을 구축하여 많은 소액 거래를 메인 체인에서 체외로 이동시켜 비트코인의 거래 속도를 크게 향상시키고 수수료를 줄입니다.

이미지 출처: https://lightning.network/lightning-network-presentation-time-2015-07-06.pdf

리퀴드 네트워크는 오픈 소스 Elements 블록체인 플랫폼에서 운영되는 사이드 체인으로, 거래소와 기관 간의 더 빠른 거래를 위해 설계되었습니다. 이는 비트코인 회사, 거래소 및 기타 이해관계자로 구성된 분산형 연합에 의해 관리됩니다. 리퀴드는 양방향 앵커링 메커니즘을 사용하여 BTC를 L-BTC로 변환하고 그 반대도 가능합니다.

이미지 출처: https://docs.liquid.net/docs/technical-overview

루트스톡은 2015년부터 운영된 가장 오래된 비트코인 사이드 체인으로, 2018년에 메인넷을 시작했습니다. 그 독특한 점은 비트코인의 작업 증명(PoW) 보안성과 이더리움의 스마트 계약을 결합한 것입니다. 오픈 소스이며 EVM과 호환되는 비트코인 Layer 2 솔루션으로서, 루트스톡은 지속적으로 성장하는 dApp 생태계에 대한 진입점을 제공하며 완전한 탈신뢰화를 목표로 하고 있습니다.

B² 네트워크의 기술 아키텍처는 두 개의 레이어 구조로 구성됩니다: 롤업 레이어(Rollup layer), 데이터 가용성(DA) 레이어. B² 네트워크는 비트코인 두 번째 레이어 솔루션에 대한 사용자 인식을 재정의하는 것을 목표로 합니다.

2018년 블록스택(Blockstack)이라는 이름으로 메인넷에 출시된 이후, 스택스는 선도적인 비트코인 Layer 2 솔루션이 되었습니다. 스택스는 비트코인에 직접 연결되어 비트코인에서 스마트 계약, dApps 및 NFT를 구축할 수 있게 하여 비트코인의 기능을 크게 확장시킵니다. 이는 단순한 가치 저장 도구에 그치지 않습니다. 스택스는 고유한 전송 증명(Proof of Transfer, PoX) 합의 메커니즘을 채택하여 비트코인의 보안을 직접적으로 연결하며 비트코인 자체를 수정할 필요가 없습니다.

이미지 출처: https://docs.stacks.co/stacks-101/proof-of-transfer

바빌론(Babylon)의 비전은 비트코인의 보안을 탈중앙화된 세계를 보호하는 데 확장하는 것입니다. 비트코인의 세 가지 측면 --- 타임스탬프 서비스, 블록 공간 및 자산 가치 --- 을 활용하여 바빌론은 비트코인의 보안을 여러 지분 증명(PoS) 체인으로 전달하여 더 강력하고 통합된 생태계를 생성할 수 있습니다.

이러한 기술들이 비트코인 생태계에 더 많은 가능성을 제공하는 동시에, 라이트닝 네트워크의 "대체 순환 공격", UTXO 계산 오류, PoW 롤백 메커니즘 위험 등과 같은 도전 과제에도 직면해 있습니다.

보고서 전문을 읽고 비트코인 생태계에 대한 더 많은 상세 내용을 확인하세요

Cosmos 애플리케이션 체인 생태계

Tendermint 합의, Cosmos SDK 및 IBC 크로스 체인 통신을 핵심으로 하여 블록체인 인터넷의 설계 사상에서 여러 기술 혁신을 가지고 있습니다.

Cosmos의 아키텍처는 허브(Hub)와 존(Zone)의 모델을 채택하고 있으며, 허브는 크로스 체인의 핵심 노드로 여러 존(독립 블록체인)을 연결하고 조정합니다. 이러한 아키텍처의 혁신점은:

탈중앙화 관리: 각 존은 독립적이고 자치적인 블록체인으로, 단일 중앙화된 관리 노드에 의존할 필요가 없습니다.

효율적인 크로스 체인 연결: 허브를 통해 존 간에 원활한 크로스 체인 통신과 자산 흐름이 가능하여 진정한 상호 연결성을 실현합니다.

보고서는 다중 모듈 호출 순서에서 크로스 체인 메시지 전달에 이르기까지 Cosmos 애플리케이션 체인의 잠재적 보안 위험을 깊이 분석하고, 유동성 스테이킹 모듈(LSM)의 보안 논란 및 거버넌스 프로세스 문제를 결합하여 더 많은 애플리케이션 체인 프로젝트에 경고와 영감을 제공합니다.

보고서 전문을 읽고 Cosmos 애플리케이션 체계 생태계에 대한 더 많은 상세 내용을 확인하세요

다년간의 취약점 연구 성과

보고서는 블록체인 산업에서 일반적으로 존재하는 아홉 가지 보안 취약점 유형을 상세히 정리하였으며, 이러한 취약점은 다양한 기술 수준에 걸쳐 있으며 여러 블록체인 생태계의 핵심 구성 요소와 관련이 있습니다. 이는 크로스 체인 통신에서 경제 모델 설계에 이르기까지 다양한 측면을 포함합니다.

1. L2/L1 크로스 체인 통신 취약점: 크로스 체인 통신은 블록체인 생태계의 상호 운용성을 향상시키는 중요한 수단이지만, 그 구현 과정에서 여러 보안 위험이 존재합니다. 예를 들어, L2가 L1의 블록 롤백을 고려하지 않거나, 체인 상의 이벤트 위조, L2가 L1에 전송된 거래의 성공 여부를 검증하지 않는 등의 문제가 있습니다.

2. Cosmos 애플리케이션 체인 취약점: Cosmos는 블록체인 상호 운용성을 핵심으로 하는 생태계로, 서로 다른 블록체인이 IBC(크로스 체인 통신 프로토콜)를 통해 연결될 수 있도록 허용합니다. 그러나 Cosmos 애플리케이션 체인은 구현 과정에서 BeginBlocker 및 EndBlocker 충돌 취약점, 잘못된 로컬 시간 사용, 잘못된 난수 사용 등 11개의 취약점 및 보안 위험이 존재할 수 있습니다.

3. 비트코인 확장 생태계 취약점: 비트코인 스크립트 구성 취약점, 파생 자산으로 인한 취약점, UTXO 금액 계산 오류 취약점 등이 포함됩니다.

4. 프로그래밍 언어의 일반적인 취약점 (예: 무한 루프, 무한 재귀, 정수 오버플로우, 경쟁 조건 등)

5. P2P 네트워크 취약점: P2P(피어 투 피어) 네트워크는 블록체인 시스템에서 분산 노드 간의 직접 연결 및 통신에 사용됩니다. P2P 네트워크는 탈중앙화 시스템에 네트워크 기반을 제공하지만, 비정형 공격 취약점, 신뢰 모델 메커니즘 부족, 노드 수 제한 메커니즘 부족 등과 같은 일련의 일반적인 취약점 유형에 직면해 있습니다.

6. DoS 공격: 메모리 소진 공격, 하드 드라이브 소진 공격, 커널 핸들 소진 공격, 지속적인 메모리 누수 등이 포함됩니다.

7. 암호학적 취약점: 암호학적 취약점은 데이터의 기밀성과 무결성을 손상시켜 시스템에 잠재적인 보안 위협을 초래합니다. 주요 암호학적 취약점 유형에는 이미 안전하지 않다고 입증된 해시 알고리즘 사용, 안전하지 않은 사용자 정의 해시 알고리즘 사용, 안전하지 않은 사용으로 인한 해시 충돌 등이 포함됩니다.

8. 원장 보안 취약점: (예: 거래 메모리 풀 취약점, 블록 해시 충돌 취약점, 고아 블록 처리 논리 취약점, 머클 트리 해시 충돌 취약점 등)

9. 경제 모델 취약점: 경제 모델은 블록체인 및 분산 시스템에서 중요한 역할을 하며, 네트워크의 인센티브 메커니즘, 거버넌스 구조 및 전체 지속 가능성에 영향을 미칩니다. 보고서에 나열된 경제 모델 취약점은 특별한 주의가 필요합니다.

보고서 전문을 읽고 보안 취약점 유형에 대한 자세한 내용을 확인하세요

일반적인 공격 면 목록

보고서는 또한 13가지 일반적인 공격 면을 나열하였으며, 각 단계는 해커 공격의 돌파구가 될 수 있으므로 개발자와 프로젝트 측에서 더욱 주의해야 합니다:

  1. 가상 머신

  2. P2P 노드 발견 및 데이터 동기화 모듈

  3. 블록 파싱 모듈

  4. 거래 파싱 모듈

  5. 합의 프로토콜 모듈

6. "기타 공격 면은 보고서에서 확인하세요"

안전 개발 모범 사례

풍부한 사례 복기 및 공격 방어 실습을 통해, 보고서는 체계적인 안전 대응 사고를 정리하였습니다.

안전 방어 측면에서, 본 보고서는 블록체인 개발의 모범 사례에 대해 상세한 권장 사항을 제시하며, 블록 및 거래 처리, 스마트 계약 가상 머신, 로그 시스템 및 RPC 인터페이스, DoS 공격 방지를 위한 P2P 프로토콜 설계, 전송 계층의 암호화 및 인증, 퍼징(Fuzzing) 및 정적 코드 분석, 제3자 보안 감사 프로세스 등 다양한 측면을 포괄하여 블록체인 프로젝트의 전체 생애 주기에 대한 명확하고 실행 가능한 안전 지침을 제공하고자 합니다.

구체적인 안전 개발 모범 사례 내용은 보고서를 다운로드하여 확인하세요

보고서 작성 배경:

2025년이 시작되면서, 지난 1년을 돌아보면 블록체인 기술은 전 세계적으로 지속적으로 빠른 속도로 발전하고 있습니다. 거래 처리 성능에서 크로스 체인 상호 작용, 스마트 계약 언어 및 노드 확장 솔루션에 이르기까지, 전체 산업은 더욱 다양하고 복잡한 새로운 단계로 나아가고 있습니다. 동시에, 여러 신흥 생태계 공공 블록체인도 빠르게 부상하고 있으며, 유연한 네트워크 아키텍처, 혁신적인 프로그래밍 모델 및 다양한 응용 시나리오를 통해 Web3 세계의 기술 흐름과 생태계 번영을 지속적으로 이끌고 있습니다.

그러나 보안 위험은 계속해서 드러나고 있으며, 공격이나 취약점 이용이 발생할 경우, 체인 상의 자산 손실뿐만 아니라 네트워크 마비를 초래할 수 있어 전체 블록체인 생태계의 안정성을 위협할 수 있습니다. 이를 위해, 세계적으로 선도적이며 신흥 Web3 생태계를 보호하고 구축하는 데 집중하는 보안 조직 BitsLab《2024 신흥 생태 공공 블록체인 전경 관찰 및 보안 연구 보고서》를 발표하여 업계의 각 당사자가 위험을 정확히 예측하고 효과적인 방어 전략을 수립할 수 있도록 돕고자 합니다.

회사 소개

BitsLab은 블록체인 및 Web3 산업의 안전에 오랫동안 집중해 왔으며, 풍부한 감사 경험과 기술적 축적을 보유하고 있습니다. Move 생태계, TON 네트워크, 비트코인 확장 분야 및 Cosmos 애플리케이션 체인 생태계에 이르기까지, BitsLab은 많은 블록체인 프로젝트에 대해 안전 감사 및 인프라 지원을 제공해 왔습니다. 이번에 발표된 보고서는 BitsLab의 지속적인 연구 및 실전 축적의 결과일 뿐만 아니라, 전체 산업을 위한 전문적인 지침서입니다. 더 많은 프로젝트 측, 투자 기관, 연구자 및 커뮤니티 구성원들이 이 보고서를 읽고 빠르게 변화하는 기술 물결 속에서 안정적으로 나아가, 탈중앙화된 세계가 안전을 보장하는 기반 위에서 건강하고 지속 가능한 발전을 이루기를 바랍니다.

《2024 신흥 생태 공공 블록체인 전경 관찰 및 보안 연구 보고서》가 공식 출시되었으며, 관심 있는 분들은 BitsLab 공식 웹사이트 및 협력 플랫폼을 통해 보고서의 전체 버전을 다운로드하여 블록체인 보안의 최전선 동향을 깊이 통찰하고, BitsLab과 함께 신흥 공공 블록체인의 견고한 방어선을 함께 구축해 나가기를 바랍니다. Web3 세계의 더 넓은 발전 전망을 함께 맞이하고, 탈중앙화 생태계가 더욱 번영하고 안정적인 미래로 나아가도록 돕겠습니다!

중영 보고서를 읽고 다운로드하려면 클릭하세요

BitsLab에 대하여

BitsLab은 신흥 Web3 생태계를 보호하고 구축하는 데 전념하는 보안 조직으로, 비전은 업계와 사용자에게 존경받는 Web3 보안 기관이 되는 것입니다. 세 개의 자회사를 보유하고 있습니다: MoveBit, ScaleBitTonBit입니다.

BitsLab은 신흥 생태계의 인프라 개발 및 보안 감사에 집중하며, Sui, Aptos, TON, Linea, BNB 체인, Soneium, Starknet, Movement, Monad, Internet Computer 및 Solana 등 다양한 생태계를 포괄합니다. 또한, BitsLab은 Circom, Halo2, Move, Cairo, Tact, FunC, Vyper, Rust 및 Solidity 등 다양한 프로그래밍 언어의 감사에서 깊은 전문성을 보여주고 있습니다.

BitsLab 팀은 여러 차례 국제 CTF 상을 수상한 최고 수준의 취약점 연구 전문가들이 모여 있으며, TON, Aptos, Sui, Nervos, OKX 및 Cosmos 등 유명 프로젝트에서 주요 취약점을 발견하였습니다.

업계 잡담

업계 잡담

암호화 산업에 대한 다양한 생각과 수필
전문 주제
관련 태그
BitsLab 안전 연구 성과 Move TON Cosmos 비트코인 확장
체인캐처(ChainCatcher)는 독자들에게 블록체인을 이성적으로 바라보고, 리스크 인식을 실제로 향상시키며, 다양한 가상 토큰 발행 및 조작에 경계해야 함을 상기시킵니다. 사이트 내 모든 콘텐츠는 시장 정보나 관련 당사자의 의견일 뿐이며 어떠한 형태의 투자 조언도 제공하지 않습니다. 만약 사이트 내에서 민감한 정보를 발견하면 “신고하기”를 클릭하여 신속하게 처리할 것입니다.
산업 속보

산업 속보

프로젝트 활동 및 산업 최신 동향을 추천합니다.
Cyber, EigenLayer, Sentient, RootData 등은 Crypto AI Benchmark Alliance를 공동으로 출범시켜 Crypto AI의 새로운 기준을 세웠습니다
Cyber, EigenLayer, Sentient, RootData 등은 Crypto AI Benchmark Alliance를 공동으로 출범시켜 Crypto AI의 새로운 기준을 세웠습니다
또 다른 길 Lair Finance: 다각적 인센티브 조정층 시스템 구축, 실제 수익으로 LRT의 제2의 봄을 깨우다
또 다른 길 Lair Finance: 다각적 인센티브 조정층 시스템 구축, 실제 수익으로 LRT의 제2의 봄을 깨우다
관련 태그
BitsLab 안전 연구 성과 Move TON Cosmos 비트코인 확장
관련 독서
Messari는 Autonomys Network 2025년 1분기 보고서를 발표했습니다
Messari는 Autonomys Network 2025년 1분기 보고서를 발표했습니다
TON 열풍이 사그라들었지만 큰 움직임은 계속된다: 거품이 사라지고 있는 것인가, 아니면 슈퍼 게이트가 침전되고 있는 것인가?
TON 열풍이 사그라들었지만 큰 움직임은 계속된다: 거품이 사라지고 있는 것인가, 아니면 슈퍼 게이트가 침전되고 있는 것인가?
Movement의 비밀 고문 Sam이 폭로했습니다: 대량의 $MOVE가 내부 지정 지갑에서 매각되고 있습니다
Movement의 비밀 고문 Sam이 폭로했습니다: 대량의 $MOVE가 내부 지정 지갑에서 매각되고 있습니다
Dragonfly, Wintermute 등 자세히 논의하는 Movement 사건: 시장 조성자 문제는 전체 산업에 피해를 주고 있으며, 어떻게 개선할 수 있을까?
Dragonfly, Wintermute 등 자세히 논의하는 Movement 사건: 시장 조성자 문제는 전체 산업에 피해를 주고 있으며, 어떻게 개선할 수 있을까?
저작권 © 2023
우리에 대해서
미디어 자원
전문 칼럼 신청
면책 성명
RSS 링크
채용
경ICP2021009392호
경ICP2021009392호
체인캐처 혁신가들과 함께하는 Web3 세상 구축
앱을 열기